본문 바로가기

벌새::Analysis

국내 악성코드 : smartad0808

반응형

인터넷 검색 및 웹 브라우저 종료시 광고창을 생성할 수 있으며, 사용자에 의해 프로그램 삭제를 방해할 목적으로 제거 기능을 제공하지 않는 국내에서 유포되는 smartad0808 악성 광고 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 2015년 8월 12일경부터 유포가 이루어지고 있으며, 기존에 유사한 기능을 가진 프로그램을 배포한 적이 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 및 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\smartad0808
C:\Users\(사용자 계정)\AppData\Roaming\smartad0808\smartad0808.exe :: 시작 프로그램(smartad0808) 등록 파일, 메모리 상주 프로세스
 - SHA-1 : 8b0c6f7ca3c921e71216c5b5f8111482d973b924
 - Kaspersky : Trojan.Win32.Scar.lbub (VT : 14/56)

해당 프로그램은 배포 파일을 "C:\Users\(사용자 계정)\AppData\Roaming\smartad0808" 폴더에 생성한 후 자신은 자가 삭제 처리됩니다.

 

Windows 시작시 ["C:\Users\(사용자 계정)\AppData\Roaming\smartad0808\smartad0808.exe" -o e] 파일을 시작 프로그램(smartad0808)으로 등록하여 자동 실행되어 메모리에 상주하도록 구성되어 있습니다.

자동 실행된 파일은 일본(Japan)에 위치한 "www.qwer63.com (153.254.133.193)" 서버에 사용자 Mac Address 값 및 파일 서버 등록일을 전송하여 암호화된 정보값을 받아올 수 있으며, 테스트 당시에는 추가적으로 받아오는 값은 확인되지 않고 있습니다.

 

이를 통해 사용자가 인터넷 검색시 키워드 값을 기반으로 한 광고창 생성 등의 광고 행위가 이루어질 수 있을 것으로 추정됩니다.

 

smartad0808 악성 프로그램 삭제 방법

smartad0808 프로그램은 삭제 기능을 제공하지 않으므로 다음과 같은 절차에 따라 수동으로 제거하시기 바랍니다.

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 2개의 smartad0808.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(b) "C:\Users\(사용자 계정)\AppData\Roaming\smartad0808" 폴더를 찾아 삭제하시기 바랍니다.

 

(c) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - smartad0808 = "C:\Users\(사용자 계정)\AppData\Roaming\smartad0808\smartad0808.exe" -o e
  • SHA-1 : bb4d1ed68db1de093cfd127f4f57b2b468b9f9e9 - avast! : Win32:Malware-gen (VT : 3/56)
  • SHA-1 : 6548c5680e2271cf722d312783d99b65a25f858d - avast! : Win32:Malware-gen (VT : 11/56)
  • SHA-1 : 7a5c7c4aa72ad82234570e8860d95e646af2c313 - Avira : TR/Agent.6340109 (VT : 6/56)
  • SHA-1 : 8b0c6f7ca3c921e71216c5b5f8111482d973b924 - Kaspersky : Trojan.Win32.Scar.lbub (VT : 14/56)
  • SHA-1 : 1949ee71d3c882b46beb00fe43d5539e46016c83 - Dr.Web : Python.Downloader.8 (VT : 6/56)
  • SHA-1 : 159b41f8886d167470869d1a2486cf49f39c059e - avast! : Win32:Malware-gen (VT : 4/56)
  • SHA-1 : 41b438e30fc6c10b00885a2644ffe90835ba9570 - Kaspersky : Trojan.Win32.Scar.lbub (VT : 6/56)
  • SHA-1 : 7d800598735f0e353c47ceee181389327e2a1401 - Avira : TR/Agent.6340109 (VT : 6/56)
  • SHA-1 : 4dd283cc985bcd8eb7114a00611f644cb4392f6d - avast! : Win32:Malware-gen (VT : 6/56)
  • SHA-1 : 58133113672d5e3bd6abdf0310c9f02a09f512ee - Kaspersky : Trojan.Win32.Scar.lbub (VT : 4/53)

해당 악성 프로그램은 다수의 변종 배포 파일이 발견되고 있으며 특정 시점에서 인터넷 이용시 원치않는 광고창 등의 행위가 이루어질 수 있을 것으로 추정되므로 주의하시기 바랍니다.

728x90
반응형